Bugs, Handleidingen, Nieuws

Apple verhelpt een fout in WebKit waardoor websites toegang konden krijgen tot je gegevens

door Pieter Arntz | 18 maart 2026
Appel

Apple heeft een beveiligingsupdate voor de achtergrond uitgebracht om een kwetsbaarheid te verhelpen waardoor kwaadaardige websites de beveiliging van de browser zouden kunnen omzeilen en toegang zouden kunnen krijgen tot gegevens van andere websites.

Wat is het?

De verholpen kwetsbaarheid in WebKit wordt als volgt beschreven:

“Een probleem met cross-origin in de Navigation API is verholpen door de invoervalidatie te verbeteren.”

WebKit-kwetsbaarheden zijn beveiligingsfouten in de webrendering-engine van Apple, die ten grondslag ligt aan Safari, Mail en de App Store op iOS macOS.

Dit betekent dat de kwetsbaarheid CVE-2026-20643 het voor een kwaadaardige website mogelijk maakt zich voor te doen als een andere site, bijvoorbeeld een site die je vertrouwt, en vervolgens informatie te lezen of te stelen die gescheiden zou moeten blijven. Normaal gesproken hanteren browsers een regel die het'same-origin-beleid' wordt genoemd, wat te vergelijken is met een strikte afscheiding die voorkomt dat de ene site in de gegevens van een andere site kan gluren. Deze bug zou cybercriminelen kunnen helpen om die afscheiding te doorbreken.

In de praktijk zou een aanvaller je eerst naar een speciaal vervaardigde webpagina moeten lokken. Als je die pagina bezoekt, zou deze kunnen proberen de gebruikelijke scheiding tussen websites te omzeilen en toegang te krijgen tot zaken die hij niet zou mogen zien, zoals gegevens uit een ander tabblad of ingesloten inhoud van een andere dienst.

Aanvallers lijken deze kwetsbaarheid momenteel nog niet in de praktijk te misbruiken, maar ze combineren dit soort problemen vaak met andere bugs om accounts of gevoelige gegevens te stelen. Dit was waarschijnlijk de reden waarom Apple deze update als een „Background Security Improvement“ heeft uitgebracht. De oplossing van Apple zorgt ervoor dat WebKit de navigatie tussen websites strenger controleert en afhandelt.

Wat te doen

Deze patch voor een kwetsbaarheid in WebKit, geregistreerd onder CVE-2026-20643, wordt geïnstalleerd bovenop de versies 26.3.1/26.3.2 en niet als een afzonderlijke volledige OS-versie. Achtergrondbeveiligingsverbeteringen zijn alleen beschikbaar op de nieuwste OS-tak (26.x) en worden stilzwijgend op de achtergrond toegepast als je de nieuwste versie gebruikt.

Als je iOS iPadOS gebruikt, kun je controleren of je de nieuwste softwareversie hebt door naarInstellingen > Algemeen > Software-update te gaan. Het is ook aan te raden om Automatische updates in te schakelen als je dat nog niet hebt gedaan. Dat kun je op hetzelfde scherm doen.

Gebruikers van macOS Tahoe kunnen via het Apple-menu controleren of ze de nieuwste versie 26.3 hebben. Kies linksboven in je scherm de optie ‘Over deze Mac’. Daar vind je onder andere de naam en het versienummer van macOS. Als je ook het buildnummer wilt weten, klik dan op het versienummer om dit te bekijken.

Deze beveiligingsverbetering op de achtergrond is alleen beschikbaar voor Mac met Tahoe 26.3.1 en MacBook Neo-gebruikers met 26.3.2.

Het enige wat gebruikers hoeven te doen, is controleren of de optie 'Beveiligingsverbeteringen op de achtergrond' isingeschakeld.

Voor iPhone- en iPad-gebruikers is deze instelling te vinden onder Privacy beveiliging'. Scroll daar naar beneden en zoek naar de schakelaar 'Beveiligingsverbeteringen op de achtergrond '.

Beveiligingsverbeteringen automatisch installeren
Beveiligingsverbeteringen automatisch installeren

Op een Mac alleen macOS Tahoe 26.3.+) kun je dit controleren door deze instructies te volgen:

  1. Klik op het Apple-menu > Systeeminstellingen.
  2. Klik in de zijbalk op Privacy & Beveiliging.
  3. Scroll rechts naar beneden en klik op ‘Beveiligingsverbeteringen op de achtergrond’.
  4. Zorg ervoor dat ‘Automatisch installeren’ is ingeschakeld. Als deze optie is uitgeschakeld, Mac de Mac de beveiligingsverbeteringen op de achtergrond Mac wanneer de oplossingen in een latere volledige update zijn opgenomen.

De optie ‘Installeren’ op mijn schermafbeelding betekent dat je het proces kunt versnellen door erop te klikken. Maar je kunt ook gewoon wachten tot het automatisch gebeurt.

Na de update zou de versie van je besturingssysteem 26.3.1 (a) moeten zijn, behalve bij MacBook Neos, waar deze 26.3.2 (a) zou moeten zijn.

We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Oplichting
Nepwebsite van Pudgy World

De nepwebsite 'Pudgy World' steelt je cryptowachtwoorden

Maart 17, 2026

De phishing-website staat los van Igloo Inc. en Pudgy Penguins, maar is bedoeld om fans te lokken en hun cryptowachtwoorden te stelen.

Mobiel
Een Trojaans paard op wielen breekt in op het scherm van een smartphone

Google treedt hard op tegen Android die misbruik maken van toegankelijkheidsfuncties

Maart 17, 2026

Malware maakt al jaren misbruik van de toegankelijkheidsfuncties Android. Google heeft dat nu een stuk moeilijker gemaakt.

Privacy
Gecompromitteerde websites

Gehackte websites verspreiden de Vidar-infostealer onder Windows

Maart 16, 2026

We hebben valse ‘controleer of je een mens bent’-pagina’s aangetroffen op gehackte WordPress-sites die Windows ertoe verleiden de Vidar-infostealer te installeren.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting